Silicon Labs では、セキュリティ研究コミュニティ、顧客、パートナーと協力して、責任を持ってタイムリーに脆弱性を特定し、対処することに尽力しています。CVE 番号付け機関(CNA)として、Silicon Labs は脆弱性の開示と管理に関する業界慣行に従い、プロセス全体を通して透明性と説明責任を確保します。
このFAQページは、潜在的なセキュリティ問題の報告方法、開示プロセス中に予想されること、および脆弱性開示の処理方法について明確なガイダンスを提供することを目的としています。研究者、開発者、顧客のいずれであっても、安全なエコシステムの維持にご協力いただきありがとうございます。
脆弱性を報告する
To report a product security vulnerability, please register and create an account at community.silabs.com and click on the "Vulnerability Disclosure" tab on the top right-hand corner to select the "Vulnerability Report Submission" option in the drop-down menu. Alternately, you can also email our PSIRT at product-security@silabs.com. Please include a detailed description of the vulnerability, steps to reproduce it, and any supporting materials (e.g., proof-of-concept code) with every submission. For secure communication, use our PSIRT PGP Key. We encourage responsible disclosure and will acknowledge your submission within 3 business days.
To report an enterprise asset security vulnerability, please register and create an account at community.silabs.com and click on the "Vulnerability Disclosure" tab on the top right-hand corner to select the "Vulnerability Report Submission" option in the drop-down menu. Alternately, you can also email our ESIRT at DL.Enterprise_Security@silabs.com. PSIRTは製品セキュリティの脆弱性に固有のチャネルであるため、PSIRTに電子メールを送信しないでください。We encourage responsible disclosure and will acknowledge your submission within 3 business days.
以下を提供してください。
- 脆弱性の明確な説明
- 影響を受けた製品とバージョン
- 問題を再現するためのステップ。
- 潜在的な影響(データ侵害、システム侵害など)。
- 概念実証コードまたはスクリーンショット(該当する場合)
- フォローアップのための連絡先情報
- 帰属情報(帰属を希望する場合
- For coding vulnerabilities, please point to the exact location of the vulnerable files
これにより、当社のPSIRTは問題を迅速に評価し、対処することができます。
はい、匿名での提出を受け付けています。However, providing contact information allows us to follow up for clarification and, if applicable, discuss eligibility for our Bug Bounty Program, which is coming up in early 2026.
開示プロセス
開示: 当社は、登録ユーザーに脆弱性を通知するセキュリティアドバイザリを発行します。セキュリティアドバイザリ通知のサインアップ方法については、ここをクリックしてください。
はい。当社は、連携した脆弱性開示の原則に従います。当社では、報告者と協力して、公開前に脆弱性を検証して修正を行い、顧客へのリスクを最小限に抑えます。当社では、利用可能な修正とともにセキュリティアドバイザリを公開することを目指しています。場合によっては、修正がリリースされないことがあります。
Silicon Labs がセキュリティアドバイザリをリリースすると、そのアドバイザリは、メッセージボード、ソーシャルメディア、ダイレクトメッセージ、またはその他の非公式チャネルを通じて配布することはできません。しかし、研究者は、公表されたCVE(共通脆弱性識別子)を自分のコミュニケーションまたは出版物で参照することができます。
以前に公開されたセキュリティアドバイザリは、コミュニティポータルで確認できます(ログインする必要があります)。製品カテゴリに基づいてセキュリティアドバイザリをフィルタリングできます。このトピックの詳細については、こちらをご覧ください。
新しいセキュリティアドバイザリが公開された際に電子メールで通知を受け取るために、ここで登録できます。公開されたすべてのセキュリティアドバイザリにアクセスできますが、通知の登録をする際に選択した製品カテゴリで新しいアドバイザリが公開された場合にのみ通知を受け取ります。
バグ・バウンティ・プログラム
2026年に発売予定
一般的な質問
当社の製品セキュリティインシデント対応チーム(PSIRT)は、当社製品のセキュリティ脆弱性の特定、評価、および解決を管理します。当社は、適時の修正と透明性のあるコミュニケーションを確保するために、研究者、顧客、パートナーと連携します。
当社は、業界標準と内部評価を組み合わせて修正の優先付けを行います。We utilize the Common Vulnerability Scoring System (CVSS) 4.0, which enables us to assess the severity of each issue. 重大な脆弱性は最優先され、90日以内に開示して解決することを目指しています。
はい、当社はCNA(CVE Numbering Authority)です。This enables us to assign CVEs to confirmed vulnerabilities when appropriate, facilitating the public disclosure of security issues. 当社は、各セキュリティアドバイザリに関連するCVE番号を記載します。
当社は、データのプライバシーを真剣に受け止めています。報告は機密扱いされ、安全に保管され、解決に関与するチームメンバーのみと共有されます。暗号化された送信には、PSIRT PGPキーを使用します。詳細については、当社のセキュリティ脆弱性開示ポリシーおよびプライバシー通知を参照してください。
